linux感染十字符病毒,linux下如何刪除十字符libudev.so病毒文件

最新推荐文章于 2021-09-06 14:58:49 发布
最新推荐文章于 2021-09-06 14:58:49 发布
阅读量204 收藏
点赞数
文章标签: linux感染十字符病毒

服務器不停的向外發包,且CPU持續100%,遠程登錄后查看發現有一長度為10的隨機字符串進程,kill掉,會重新生成另外長度為10的字符串進程。刪除文件也會重復生成,非常痛苦。查閱crond相關日志,發現實際執行的內容為/lib/libudev.so ,以此為關鍵字進行查詢,找到如下內容:

1.1 工具/原料

Linux系統

病毒文件libudev.so

1.2 方法/步驟

1.網絡流量暴增,使用 top 觀察有至少一個 10 個隨機字母組成的程序執行,佔用大量 CPU 使用率。刪除這些程序,馬上又產生新的程序。

2.檢查 cat /etc/crontab 發現定時任務 每三分鍾執行一個腳本gcc.sh

*/3 * * * * root /etc/cron.hourly/gcc.sh

查看病毒程式 gcc.sh,可以看到病毒本體是 /lib/libudev.so。

[root@deyu ~]# cat /etc/cron.hourly/gcc.sh

#!/bin/sh

PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin

for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done

cp /lib/libudev.so /lib/libudev.so.6

/lib/libudev.so.6

刪除上一行例行工作 gcc.sh,並設定 /etc/crontab無法變動,否則馬上又會產生新的文件。

[root@deyu ~]# rm -f /etc/cron.hourly/gcc.sh && chattr +i /etc/crontab

使用 top 查看病毒為 mtyxkeaofa,id 為 16621,不要直接殺掉程序,否則會再次產生新的文件,而是停止其運行。

[root@deyu ~]# kill -STOP 16621

刪除 /etc/init.d 內的檔案。

[root@deyu ~]# find /etc -name '*mtyxkeaofa*' | xargs rm -f

刪除 /usr/bin 內的檔案。

[root@deyu ~]# rm -f /usr/bin/mtyxkeaofa

查看 /usr/bin 最近變動的檔案,如果是病毒也一併刪除,其他可疑的目錄也一樣。

[root@deyu ~]# ls -lt /usr/bin | head

現在殺掉病毒程序,就不會再產生。

[root@deyu ~]# pkill mtyxkeaofa

刪除病毒本體。

[root@deyu ~]# rm -f /lib/libudev.so

使用此方法 可以完全清除此病毒。

1.3 注意事項

/proc里面的東西是可以更改的;

lsof還比較忠誠,不直接讀取/proc里面的信息,ps看到的就不一定真實,top看到的進程還是正確的。 附:find -o參數就是邏輯運算的or

常一二
关注
Linux应用程序利用libudev库识别USB设备
学海无涯,回不了岸
09-16 3226
具体过程前言一、认识 libudev库二、libudev示例代码三、 前言 应用场景: 热插拔监测USB的插拔过程。 通过设备节点字符串— /dev/ttyACM* 打开USB串口进行通信。 重点难点: libudev库在linux的安装。 libudev库与gcc的交叉编译是否成功? 板子的gcc是否可以获取到动态库libudev.so libudev.a静态库怎么生成? 一、认识 libudevlibudev库的使用主要通过调用库函数来对USB进行操作。其过程主要包括以下几个部分: 1.
Ubuntu找不到libudev.so.0库
热门推荐
Cyril's Blog
07-09 1万+
问题现象在Ubuntu下很多软件通过deb安装之后发现点击打开,结果却打不开.所以我用terminal去执行程序.发现了error while loading shared libraries: libudev.so.0: cannot open shared object file: No such file or directory.这个提示就是说明了无法加载libudev.so.0这个动态库.
linux解决病毒系列之一,删除字符libudev.so病毒文件
a304096740的博客
11-04 398
前两天被服务器商通知服务器带宽流量增加,我想了想我们服务走的内网,没有什么大的带宽占用,于是我马上登录服务器。 用top命令查看运行情况,我擦,有一个进程吃了很高的cup,于是我赶紧用kill -9 杀掉。本以为结束了,然后过了几分钟,流量又增加了。 我擦,再次用top命令查看一下,我晕又有一个随之字符串的进程出现...如此看来是中病毒了。 这病毒怎么解决了? 比如病毒为:...
Linux服务器中毒事件(libudev.so)
anhuoqiu1787的博客
06-21 389
  今天机房管理人员反馈公司的某台服务器在防火墙上的连接数超限,登陆服务器时发现非常卡顿,远程登录后查看,CPU持续100%,且有一长度为10的随机字符串进程,kill掉,会重新生成另外长度为10的字符串进程。删除文件也会重复生成,非常痛苦。查阅crontab,并没有发现相关定时任务,整个排查思路如下: 1、查看主机负载,确认可疑进程 PID USER PR NI VIR...
字符病毒,杀不死的小强,一次云服务器沦陷实录
weixin_34324081的博客
08-22 383
一、现象 接到客户的电话,说自己的云服务器被提供商禁止访问了,原因是监测到网络流量暴满,服务器不停的向外发包,在确认客户没有业务量突增的情况下,初步判断可能服务器遭受了流量攻&击(DDOS),不过按照常理来说,客户的业务系统就是一个小的web系统,平时流量不大,影响力也一般,不至于遭受DDOs,带着这些疑问,要到了客户服务器的登录方式,废话少说,还是进入系统,一查究竟吧。点击此处有惊喜 二...
linux感染字符病毒,linux解决病毒系列之一,删除字符libudev.so病毒文件
weixin_36338813的博客
05-12 306
前两天被服务器商通知服务器带宽流量增加,我想了想我们服务走的内网,没有什么大的带宽占用,于是我马上登录服务器。用top命令查看运行情况,我擦,有一个进程吃了很高的cup,于是我赶紧用kill -9 杀掉。本以为结束了,然后过了几分钟,流量又增加了。我擦,再次用top命令查看一下,我晕又有一个随之字符串的进程出现...如此看来是中病毒了。这病毒怎么解决了?比如病毒为:abcdefjhee1.whic...
编译好arm平台下的libudev
06-14
Linux系统中,libudev库扮演着至关重要的角色,它是一个用于管理硬件设备的库,主要处理设备节点的创建、删除以及设备事件监控。在标题和描述中提到的"编译好arm平台下的libudev库",是针对ARM架构的嵌入式设备或...
编译完成的arm架构下的libudev动态库
08-24
编译完成的arm架构下的libudev动态库 包含.so库和h文件
liunx安装了libudev qt的交叉编译找不到 libudev.h文件如何指定liunx的libudev文件 /usr/include/libudev.h /lib/x86_64-linux-gnu/libudev.so
最新发布
09-16
如果你在Linux上使用Qt进行跨平台编译,遇到找不到`libudev.h`的情况,你需要告诉Qt编译器关于`libudev`库的位置。通常,这涉及到设置编译器的头文件搜索路径(`C_INCLUDE_PATH`)和链接器的库搜索路径(`LD_LIBRARY_...
linux感染字符病毒,Linux /lib/libudev.so 病毒清除 随机10字符病毒
weixin_28697603的博客
05-12 320
今天遇到连上网就CPU,网络爆满的情况,查看日志发现一直在启动/etc/cron.hourly/gcc.sh,然后去网上查了下,发现是中招了,最后按文章成功解决:)其中许多是查找,解决基本上是删除gcc.sh等一些在init.d下的执行文件,还有crontab里的level3有个启动,再chattr +i /usr/bin锁定那些检测删除病毒主程序的东西,这样就能rm删除掉主程序,find发现.T...
linux感染字符病毒,字符病毒,杀不死的小强,一次云服务器沦陷实录
weixin_36221923的博客
05-12 326
一、现象接到客户的电话,说自己的云服务器被提供商禁止访问了,原因是监测到网络流量暴满,服务器不停的向外发包,在确认客户没有业务量突增的情况下,初步判断可能服务器遭受了流量攻&击(DDOS),不过按照常理来说,客户的业务系统就是一个小的web系统,平时流量不大,影响力也一般,不至于遭受DDOs,带着这些疑问,要到了客户服务器的登录方式,废话少说,还是进入系统,一查究竟吧。二、排查问题下图是登...
linux字符木马,Linux下随机10字符病毒的清除
weixin_39537977的博客
05-12 190
一、现象服务器不停的向外发包,网络流量暴满,且CPU持续100%。远程登录后查看发现有一长度为10的随机字符串进程,kill掉,会重新生成另外长度为10的字符串进程。删除文件也会重复生成lsof -R | grep “/usr/bin”,发现主进程不变,总是产生几个辅进程,并且一直处于dedeted状态,这说明主进程会快速产生几个子进程,然后这些进程之间相互检测,一旦检测到病毒主体被删除或更改,就...
清除随机进程名称的木马 libudev.so
weixin_34337381的博客
05-24 490
前天遇到求助,说某服务器大量对外发包,怀疑是中病毒了,已经把网络断开,但是相关的服务也就不可用了。 于是进机房,登录到该服务器上,CentOS 系统,root 弱密码,呵呵呵~理想的“肉鸡”。 先执行 top 看看有什么进程,果然看到有好几个进程,随机名称,而且还过几秒就变一次。好玩~ 首先查看定时任务 crontab -l,有 2 条定时从某 IP 上...
报错libudev.so.1: wrong ELF class: ELFCLASS64
qq_44488261的博客
09-06 587
报错wrong ELF class: ELFCLASS64 我这里是因为机器是32的需要32的位,但是导入的库是64位的所以报错
啥是so文件
理查德马修斯托曼的博客
09-13 3039
这个是linux系统下的文件, 你的手机应该是安卓平台, 安卓平台是从linux内核的基础上发展过来的, 所以会有后缀为.so(shared object)的文件, 当然这样解释不够精确、详细, 肯定会被吐槽, 具体如下: 准确地、详细地来说, 手机里面有硬件, 也就是弱电学中的电路, 电路组成了CPU和协助CPU的外围电路, CPU上面移植了Linux内核, 好,接下来就开
软件安装
zgc546775956的博客
01-22 576
首先我们先要了解一下自身情况。 查看系统版本 hostnamectl 这决定了我们的镜像也要安装7.2版本的,为了安全,我们就把镜像下载到新建的/iso下。(镜像从官网下载)把镜像挂在/mnt以便访问镜像中文件 [root@foundation20 yum.repos.d]# mount rhel-server-7.2-x86_64-dvd.iso /mnt 挂起是临时的,卸载文件是永久的
阿里云服务器糟肉鸡行为的应对措施
Logica的专栏
06-20 5678
解决该问题用了两篇博友文章 #########################################################、 注 :第一篇中“mtyxkeaofa“是病毒,你的服务器上可能是"yam" ,"xxxswrerw"等,灵活变通 1: linux下如何删除字符libudev.so病毒文件     服务器不停的向外发包
centos随机名、自我保护的木马病毒 清除小记
onebird_lmx的博客
09-27 590
这种病毒是进行了自我保护的,直接删除文件或修改文件都会导致其变身重新复制,需逐步清除: 这个木马的主程序是:/lib/libudev.so 1、一般来说,病毒会在cron.hourly里面有sh脚本(gcc.sh),可以cat查看后找到其宿主程序: libudev.so libudev.so.6 清除之: cp /dev/null /lib/libudev.so cp /dev/null /lib/libudev.so.6 2、对自动启动服务 init 进行清理: /etc/init.d 下面应该会有运行期
Anyshare-libudev.so病毒排查与处理指南
4. **libudev.so属性**:正常情况下,`libudev.so`应为共享对象文件,但被病毒感染后,它可能变为可执行文件。 5. **随机服务检测**:在`/etc/init.d/`目录下可能存在一个由随机字符组成的可疑服务。 **处理方案** ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值